Rischio phishing su iOS da SMS truffa, Apple risponde: usate iMessage


Nei giorni scorsi Pod2g, l'hacker specializzato in jailbreak e sicurezza del sistema operativo mobile iOS, ha individuato una grave falla di sicurezza nel sistema di gestione degli SMS su iPhone, mettendo così lo stesso a rischio phishing e smishing. Secondo quanto affermato da Pod2g sul suo blog, il bug sarebbe presente nella piattaforma iOS da 5 anni e sarebbe imputabile al sistema operativo di Cupertino.

Quando si digita un testo e si invia l'SMS, il telefono traduce tale testo in un messaggio che viene gestito utilizzando il sistema Protocol Description Unit (PDU). Una volta che le informazioni sono veicolate sulla rete dell'operatore telefonico, queste raggiungono il dispositivo del destinatario, dove vengono esaminate dal software installato e visualizzate all'utente nella forma grafica più opportuna.

Il baco, sebbene non implichi l'esecuzione di codice, consiste in una errata gestione della funzionalità User Data Header (UDH) propria degli SMS presente in tutte le versioni di iOS, inclusa la beta della prossima versione 6. Fornendo nel messaggio un numero di telefono a cui rispondere al posto di quello originario, possibilità offerta dal protocollo dei messaggi, iOS mostrerebbe quello invece di quello del mittente.

Se un malintenzionato riesce a interagire con il codice utilizzato per far giungere a destinazione l'SMS può alterarne, per esempio, l'intestazione in modo da far credere che la comunicazione pervenga da un mittente diverso rispetto a quello reale. Il sito Engadget ha contattato un portavoce di Apple che ha dato una risposta ufficiale, minimizzando il problema ed incolpando il protocollo di gestione degli SMS.

Per il momento Apple suggerisce ai suoi clienti la massima cautela preferendo l'impiego dell'applicazione iMessage al tradizionale strumento per la gestione degli SMS. Oltre ad aumentare il livello di attenzione, la società di Cupertino evidenzia come debbano essere adottate tutte le precauzioni del caso prima di visitare qualunque indirizzo Internet eventualmente incluso in un messaggio SMS.

"Apple prende la sicurezza molto sul serio. Quando si utilizza iMessage invece degli SMS, gli indirizzi vengono verificati per proteggere contro questo tipo di attacchi di spoofing. Uno dei limiti degli SMS è che permettono di inviare messaggi con indirizzi fasulli a qualsiasi telefono cellulare, quindi invitiamo i clienti a prestare la massima attenzione se sono indirizzati a un sito Web sconosciuto o un indirizzo via SMS".

Via: Engadget

Nessun commento:

Posta un commento